O conjunto de documentação deste produto faz o possível para usar uma linguagem imparcial. Para os fins deste conjunto de documentação, a imparcialidade é definida como uma linguagem que não implica em discriminação baseada em idade, deficiência, gênero, identidade racial, identidade étnica, orientação sexual, status socioeconômico e interseccionalidade. Pode haver exceções na documentação devido à linguagem codificada nas interfaces de usuário do software do produto, linguagem usada com base na documentação de RFP ou linguagem usada por um produto de terceiros referenciado. Saiba mais sobre como a Cisco está usando a linguagem inclusiva.
A Cisco traduziu este documento com a ajuda de tecnologias de tradução automática e humana para oferecer conteúdo de suporte aos seus usuários no seu próprio idioma, independentemente da localização. Observe que mesmo a melhor tradução automática não será tão precisa quanto as realizadas por um tradutor profissional. A Cisco Systems, Inc. não se responsabiliza pela precisão destas traduções e recomenda que o documento original em inglês (link fornecido) seja sempre consultado.
Este documento descreve uma análise aprofundada da Configuração Gold fornecida para o Cisco Secure Email Cloud Gateway. A Configuração Gold para clientes de nuvem do Cisco Secure Email é a melhor prática e a configuração de dia zero para o Gateway de nuvem e o Cisco Secure Email and Web Manager. As implantações do Cisco Secure Email Cloud usam Gateway(s) de nuvem e pelo menos um (1) Gerenciador de e-mail e Web. Partes da configuração e das práticas recomendadas instruem os administradores a usar quarentenas localizadas no Gerenciador de e-mail e da Web para fins de gerenciamento centralizado.
A Cisco recomenda que você conheça estes tópicos:
As informações neste documento são da configuração ouro e das práticas recomendadas para clientes e administradores do Cisco Secure Email Cloud.
The information in this document was created from the devices in a specific lab environment. All of the devices used in this document started with a cleared (default) configuration. Se a rede estiver ativa, certifique-se de que você entenda o impacto potencial de qualquer comando.
Este documento também se aplica a:
As quarentenas são configuradas e mantidas no Gerenciador de e-mail e Web para clientes do Cisco Secure Email Cloud. Faça login no Gerenciador de e-mail e Web para exibir as quarentenas:
Aviso: qualquer alteração nas configurações com base nas práticas recomendadas fornecidas neste documento precisa ser revisada e compreendida antes de você confirmar suas alterações de configuração no ambiente de produção. Consulte seu engenheiro Cisco CX, o DSM (Designated Service Manager, gerente de serviço designado) ou a equipe de conta antes de alterar a configuração.
Políticas de e-mail > Recipient Access Table (RAT)
A tabela de acesso de destinatário define quais destinatários são aceitos por um ouvinte público. No mínimo, a tabela especifica o endereço e se deve aceitá-lo ou rejeitá-lo. Revise a RAT para adicionar e gerenciar seus domínios conforme necessário.
Rede > Rotas SMTP
Se o destino da rota SMTP for Microsoft 365, consulte Nova Instância de CES de Limitação do Office365 com "4.7.500 Servidor ocupado. Please try again later." (Tente novamente mais tarde.)
Os serviços listados são configurados para todos os clientes do Cisco Secure Email Cloud com os valores fornecidos:
Antisspam IronPort (IPAS)
Filtragem de URL
Detecção de Correio de Cinza
Filtros de epidemia
Proteção avançada contra malware > Reputação e análise de arquivos
Rastreamento de mensagem
Usuários (Administração do sistema > Usuários)
Inscrições de log (Administração do sistema > Inscrições de log)
Serviços adicionais para revisar e considerar:
Administração do sistema > LDAP
Defesa de URL
SPF
exists:%{i}.spf.<allocation>.iphmx.com
Observação: certifique-se de que o registro SPF termine com ~all ou -all. Valide os registros SPF para seus domínios antes e depois de qualquer alteração!
Exemplos adicionais de SPF
v=spf1 mx a:mail01.yourdomain.com a:mail99.yourdomain.com ~all
v=spf1 mx exists:%{i}.spf.<allocation>.iphmx.com ~all
v=spf1 exists:%{i}.spf.<allocation>.iphmx.com ip4:192.168.0.1/16 ~all
Filtro Anti-Spoof
Adicionar filtro de cabeçalho
addHeaders: if (sendergroup != "RELAYLIST")
{
insert-header("X-IronPort-RemoteIP", "$RemoteIP");
insert-header("X-IronPort-MID", "$MID");
insert-header("X-IronPort-Reputation", "$Reputation");
insert-header("X-IronPort-Listener", "$RecvListener");
insert-header("X-IronPort-SenderGroup", "$Group");
insert-header("X-IronPort-MailFlowPolicy", "$Policy");
}
Visão geral do HAT > Grupos de remetentes adicionais
No grupo de remetente SUSPECTLIST predefinido
Exemplo de HAT agressivo
Note: Os exemplos de HAT mostram políticas de fluxo de e-mail (MFP) configuradas adicionalmente. Para obter informações completas sobre MFP, consulte "Understanding the Email Pipeline > Incoming/Receiving" (Entendendo o pipeline de e-mail > Recebimento/Entrada) no User Guide (Guia do usuário) para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway que você implantou.
Exemplo de HAT:
Parâmetros de política padrão
Configurações de segurança
Note: O DMARC requer ajuste adicional para ser configurado. Para obter mais informações sobre o DMARC, consulte "Autenticação de e-mail > Verificação de DMARC" no Guia do usuário para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway que você implantou.
A política padrão é configurada de forma semelhante a:
Antisspam
Antivírus
AMP
Correio de Cinza
Filtros de conteúdo
Filtros de epidemia
Nomes de política (mostrados)
A política de e-mail da LISTA DE BLOQUEIO é configurada com todos os serviços desativados, exceto a Proteção avançada contra malware, e vincula a um filtro de conteúdo com a ação QUARENTENA.
A política de e-mail ALLOWLIST tem Antispam, Graymail desabilitado e Filtros de conteúdo habilitados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, DKIM_FAILURE, SPF_HARDFAIL, EXECUTIVE SPOOF, DOMAIN_SPOOF, SDR, TG_RATE_LIMIT ou filtros de conteúdo de sua escolha e configuração.
A política de e-mail ALLOW_SPOOF tem todos os serviços padrão ativados, com Filtros de conteúdo ativados para URL_QUARANTINE_MALICIOUS, URL_REWRITE_SUSPICIOUS, URL_INAPPROPRIATE, SDR ou filtros de conteúdo de sua escolha e configuração.
A política padrão é configurada de forma semelhante a:
Antisspam
Antivírus
Proteção avançada contra malware
Correio de Cinza
Filtros de conteúdo
Filtros de epidemia
DLP
Note: Para obter informações adicionais sobre filtros de conteúdo, consulte "Filtros de conteúdo" no Guia do usuário para obter a versão apropriada do AsyncOS para o Cisco Secure Email Gateway que você implantou.
URL_QUARANTINE_MALICIOUS
Condição: Reputação de URL; url-reputation(-10.00, -6.00 , "bypass_urls", 1, 1)
Ação: Quarentena: quarantine("URL_MALICIOUS")
URL_REWRITE_SUSPICIOUS
Condição: Reputação de URL; url-reputation(-5.90, -5.60 , "bypass_urls", 0, 1)
Ação: Reputação de URL; url-reputation-proxy-redirect(-5.90, -5.60,"",0)
URL_INAPROPRIADO
Condição: Categoria de URL; url-category (['Adult', 'Child Abuse Content', 'Extreme', 'Hate Speech', 'Illegal Activities', 'Illegal Downloads', 'Illegal Drugs', 'Pornography', 'Filter Avoidance'], "bypass_urls", 1, 1)
Ação: Quarentena; duplicate-quarantine("INAPPROPRIATE_CONTENT")
DKIM_FAILURE
Condição: Autenticação DKIM; dkim-authentication == hardfail
Ação: Quarentena; duplicate-quarantine("DKIM_FAIL")
SPF_HARDFAIL
Condição: Verificação de SPF; spf-status == falha
Ação: Quarentena; duplicate-quarantine("SPF_HARDFAIL")
EXECUTIVE_SPOOF
Condição: Detecção de e-mail forjado; forged-email-detection("Executive_FED", 90, "")
Condição: Outro cabeçalho; header("X-IronPort-SenderGroup") != "(?i)allowspoof"
* definir Aplicar regra: Somente se todas as condições corresponderem
Ação: Adicionar/editar cabeçalho; edit-header-text("Assunto", "(.*)", "[EXTERNO]\\1")
Ação: Quarentena; quarentena duplicada("FORGED_EMAIL")
DOMAIN_SPOOF
Condição: Outro cabeçalho; header("X-Spoof")
Ação: Quarentena; duplicate-quarantine("ANTI_SPOOF")
SDR
Condição: Reputação de domínio; sdr-reputation (['terrível'], "")
Condição: Reputação de domínio; idade sdr ("dias", <, 5, "")
* definir Aplicar regra: Se uma ou mais condições corresponderem
Ação: Quarentena; duplicate-quarantine("SDR_DATA")
TG_RATE_LIMIT
Condição: Outro cabeçalho; header("X-TG-RATELIMIT")
Ação: Add Log Entry; log-entry("X-TG-RATELIMIT: $filenames")
BLOCKLIST_QUARANTINE
Condição: (Nenhum)
Ação: Quarentena; quarentena("BLOCKLIST")
TG_OUTBOUND_MALICIOUS
Condição: Outro cabeçalho; cabeçalho("X-TG-OUTBOUND") == MALWARE
Ação: Quarentena; quarentena("TG_OUTBOUND_MALWARE")
Strip_Secret_Header
Condição: Outro cabeçalho; header("PLACEHOLDER") == PLACEHOLDER
Ação: Cabeçalho da Faixa; strip-header("X-IronPort-Tenant")
EXTERNAL_SENDER_REMOVE
Condição: (Nenhum)
Ação: Adicionar/editar cabeçalho; edit-header-text("Assunto", "\\[EXTERNO\\]\\s?", "")
CONTA_TRANSFERÊNCIA
Condição: Outro cabeçalho; cabeçalho("X-AMP-Result") == (?i)mal-intencionado
Condição: Reputação de URL; reputação de URL(-10.00, -6.00 , "", 1, 1)
*Definir Regra de Aplicação: Se uma ou mais condições corresponderem
Ação: Notify;notify ("<Inserir endereço de e-mail do administrador ou distribuidor>", "POSSÍVEL TRANSFERÊNCIA DE CONTA", "", "CONTA_TRANSFERÊNCIA_AVISO")
Ação: duplicate-quarantine("CONTA_TRANSFERÊNCIA")
Para clientes do Cisco Secure Email Cloud, temos filtros de conteúdo de exemplo incluídos na configuração gold e nas práticas recomendadas. Além disso, reveja os filtros "SAMPLE_" para obter mais informações sobre condições e ações associadas que podem ser úteis na sua configuração.
O Cisco Live hospeda muitas sessões globalmente e oferece sessões presenciais e inovações técnicas que cobrem as melhores práticas do Cisco Secure Email. Para acesso e sessões anteriores, visite o Cisco Live (requer login no CCO):
Segurança de e-mail da Cisco: Práticas recomendadas e ajuste fino - BRKSEC-2131
Revisão | Data de publicação | Comentários |
---|---|---|
3.0 |
31-Jul-2022 |
Atualização dos valores mais recentes da Configuração Gold, reformulação para atender aos critérios de publicação, atualização de links e referências. |
1.0 |
15-May-2017 |
Versão inicial |